MÉTODO Y SISTEMA DE COMUNICACIONES PARA LA RECONCILIACIÓN DE INFORMACIÓN EN QKD MEDIANTE EL USO DE CÓDIGOS LDPC ADAPTANDO LA TASA DE INFORMACIÓN.

5 SECTOR TÉCNICO La invención es de interés en los sectores relacionados con la teoría de la información (en concreto con el segmento ligado con la corrección de 1º errores) , las comunicaciones, y la criptografía; siendo de especial interés aunque no de manera exclusiva en la corrección de errores aplicada a la distribución cuántica de claves. ESTADO DE LA TÉCNICA 15 El objetivo primero de la criptografía es garantizar el secreto en la comunicación entre dos partes, o extremos, a los que denominaremos con los nombres anglosajones, comúnmente usados en el campo, de Alice y Bob, haciendo referencia a los extremos inicial (o emisor) y final (o receptor) 20 respectivamente. Para alcanzar este objetivo las partes, Alice y Bob, deben acordar un mecanismo de cifrado que haga ininteligible la información a un posible espía. Las normas aceptadas en criptografía dictan que la seguridad de la comunicación debe residir en una clave compartida inicialmente que permita realizar el cifrado y descifrado de la información intercambiada. 25 Según N. Gisin, G. Ribordy, W. Tittel y H. Zbinden, "Quantum cr y ptography, " Reviews of Modern Physics, vol. 74, pp. 145-195, 2002 la distribución cuántica de claves o criptografía cuántica, conocida por sus siglas inglesas como QKD (Quantum Key Distribution) , permite distribuir de forma 30 segura una clave entre dos partes, o extremos de un sistema QKD. De manera general, en los protocolos de QKD, hay una primera comunicación en la que se intercambian señales a través de un canal cuántico. Tras este intercambio se procede a comunicar a través de un canal clásico 35 autenticado información relativa a la modulación de las señales cuánticas que permite a las dos partes construir dos cadenas de bits altamente correlacionadas. En una situación ideal las cadenas intercambiadas durante la primera comunicación deberían ser idénticas tras la ejecución del protocolo de QKD. Sin embargo en las implementaciones prácticas, debido a: 1) las 40 imperfecciones de los sistemas, 2) a las pérdidas en el canal cuántico y 3) a la posible presencia de un espía; las cadenas de bits generadas por el protocolo QKD no son idénticas. Esto ha sido divulgado por: "Quantum cr y ptography: public key distribution and coin tossing, " IEEE lnternational Conference on Computers, Systems and Signal Processing, pp. 45 175-179, 1984 (C.H. Bennett y G. Brassard) . "Quantum cr y ptography protocols robust against photon number splitting attacks for weak laser pulse implementations", Physical Review Letter, vol. 92, no. 5, p. 057901, 2004 (V. Scarani, A. Acín, G. Ribordy y N. Gisin) . El proceso que permite reconciliar las cadenas es un proceso conocido como destilación de clave (las cadenas de bits intercambiadas por un protocolo QKD son denominadas como clave a partir del momento en el que son eliminadas las discrepancias entre los extremos de la comunicación) . El 5 proceso de destilación de clave requiere de una discusión realizada sobre el canal clásico. El canal clásico es público y puede ser escuchado libremente. Es importante, por lo tanto, minimizar la cantidad de información que es transmitida en el proceso de corrección de las discrepancias entre las dos cadenas. Cualquier información extra enviada sobre el canal clásico limita la 1º eficiencia del sistema de QKD al reducir la cantidad de clave secreta producida por el protocolo durante un proceso posterior a la destilación, que se conoce como amplificación de la privacidad. Ver C.H. Bennett, G. Brassard, C. Crépeau y U.M. Maurer, "Generalized Privacy Amplification, " IEEE Transactions on lnformation Theor y , vol. 41, no. 6, pp. 1915-1923, 1995. 15 También D. Gottesman, H. K. Lo, N. Lütkenhaus y J. Preskill, "Security of quantum key distribution with imperfect devices, " Quantum lnformation and Computation, vol.4, no. 5, pp. 325-360, 2004. 20 Para modelar el problema llamemos X e Y a dos variables correlacionadas que pertenecen a las dos partes interesadas en establecer una clave secreta, Alice y Bob. La reconciliación de la información es un procedimiento que permite eliminar las discrepancias entre X e Y, y establecer una cadena compartida. La mínima información que Alice debería enviar a Bob 25 para ayudarle a reconciliar las dos cadenas viene determinada por: l_opt =H (XIY) donde H (x) es la entropía de Shannon. 30 Para medir la cercanía al límite teórico se introduce un nuevo parámetro, f, como medida de la calidad de la reconciliación: l_real = f * H (XIY) >= l_opt 35 De tal forma que f toma el valor 1 en el caso óptimo, es decir, cuando la reconciliación es perfecta. La corrección de errores en QKD más usada hasta el momento utiliza 40 implementaciones del método llamado Cascade. Fue propuesto a principios de los 90 debido a su simplicidad y relativamente buena eficiencia por G. Brassard y L. Salvail, "Secret-key reconciliation by public discussion, " Lecture Notes in Computer Science, vol. 765, pp. 411-423, 1993. Cascade es un protocolo altamente interactivo (requiere del intercambio de muchos mensajes entre las 45 partes) que funciona durante un número prefijado de pasos. En cada paso, las partes realizan una permutación de sus cadenas, la dividen en bloques del mismo tamaño e intercambian las paridades de los bloques. En el caso de

encontrar una discrepancia en la paridad realizan una búsqueda dicotómica

para encontrar un error. Al encontrar un error normalmente se consigue encontrar errores no descubiertos en los pasos previos. El problema principal de Cascade es su alta interactividad, ya que su tiempo de ejecución es muy alto y por lo tanto limita la velocidad en la obtención de claves por parte del sistema.

Otras propuestas incluyen el uso de Winnow, que es un método de corrección de errores en el que en vez de intercambiar paridades como en Cascade, se intercambia el síndrome de un código Hamming. Fue propuesto por W. Buttler, S. Lamoreaux, J. Torgerson, G. Nickel, C. Donahue y C. Peterson, "Fast, efficient error reconciliation for quantum cr y ptography, " Physical Review A, vol. 67, no. 5, pp. 052 303-+, May 2003. Con este método se reduce la interactividad pero, en el rango de tasas de error de interés, la eficiencia es inferior a la de Cascade.

Un código lineal de longitud n símbolos donde k de los símbolos son de información y m = n -k son de redundancia, es un subespacio del espacio vectorial F _n (q) donde F (q) es el cuerpo finito de q elementos y F _n (q) representa el producto cartesiano n-ario. En este caso nos restringimos a q =2 para códigos binarios. Llamamos a un código de este tipo un código [n, k] y a la relación entre k y n, R = k 1 n, que define la cantidad de bits de información enviados respecto al total de bits en el canal, tasa de información.

Se pueden definir dos matrices asociadas a un código lineal, G la matriz generadora del código y H la matriz de paridad. Como subespacio de F _n (q) , el código entero se puede representar como el conjunto de combinaciones lineales de un conjunto mínimo de palabras código (la base del subespacio) , a una matriz en la que sus filas son una base del código se la denomina matriz generadora G. La matriz que representa la transformación lineal de F _n (q) en F_{n-k} (q) con núcleo el código se denomina matriz de paridad H.

Una representación equivalente a la de la matriz de paridad es a través de un grafo bipartito, esta representación se conoce como grafo de Tanner. Un grafo bipartito es un grafo cuyos nodos se pueden dividir en dos conjuntos disjuntos U y V tal que cada arista conecta un nodo de U con uno de V. Uno de los conjuntos de nodos, U, los nodos paridad, representan las ecuaciones de paridad que definen el código, mientras que el otro conjunto, V, los nodos símbolo, representan cada elemento de una palabra código. Un nodo paridad (símbolo) se define de grado i, si está conectado a i nodos símbolo (paridad) .

En muchos de los protocolos de QKD la información se codifica en variables binarias, y en la mayoría de estos casos los errores son no correlacionados y simétricos. Con estas hipótesis X e Y, las cadenas de Al ice y...

1. Método de comunicaciones para la reconciliación de información en 5 QKD mediante el uso de códigos LDPC adaptando la tasa de información para un canal BSC, entre un emisor A y un receptor 8, caracterizado por:

- enviar un mensaje x desde el emisor A por el canal BSC;

1º -recibir un mensaje y en el receptor 8 correspondiente al mensaje enviado x;

- estimar en el emisor A para una tasa de error estimada e' y un código LDPC adaptado a e', la tasa de información R, el valor de acortado s y el valor de perforado p correspondientes;

- generar una cadena extendida x+ correspondiente al mensaje original x sin los p bits perforados, sustituidos por p bits aleatorios, y sin los s bits acortados, sustituidos por s bits públicos conocidos por emisor A y receptor 8;

-enviar al receptor 8, el síndrome de x+, s (x+) ;

- recibir en el receptor 8,

- decodificar en el receptor 8, la tasa de información R, el valor de acortados y 25 el valor de perforado p;

- generar una cadena extendida equivalente y+ correspondiente al mensaje recibido y sin los p bits perforados, sustituidos por p bits aleatorios, y sin los s bits acortados, sustituidos por s bits públicos conocidos por emisor A y receptor

8·

'

para determinar en cada momento el valor de acortados y de perforado p que optimiza la tasa de información R asociada a la tasa de error estimada e'.

2. Método según la reivindicación 1, caracterizado por que la tasa de error estimada e', se calcula previamente en el emisor A, como el menor valor dentro del rango conocido de posibles valores para el error del canal;

3. según la reivindicación 1 ó 2, caracterizado por que el receptor 8 envía un mensaje de confirmación al emisor A, indicando si es no-exitosa la decodificación del mensaje correspondiente a la cadena extendida x+.

4. Método según la reivindicación 3, caracterizado por que, mientras el

45 mensaje de confirmación indica que la decodificación del mensaje es no-exitosa, el emisor A envía al menos uno de los bits perforados al receptor 8 para que decodifique de nuevo.

5. Método según la reivindicación 1 ó 2, caracterizado por que se realizan las siguientes operaciones con el mensaje y recibido por el receptor 8 5 -extraer una serie m (y) de t bits de forma aleatoria del mensaje recibido y, junto con sus posiciones en el mensaje recibido pos (y) ; - enviar, desde el receptor 8 hacia el emisor A, la serie de bits extraídos m (y) junto con sus posiciones pos (y) ; 1º 6. Método según la reivindicación 5, caracterizado por que se realizan las siguientes operaciones por el emisor A para determinar, la tasa de información R, el valor de acortado s y el valor de perforado p; 15 -extraer una serie m (x) de t bits a partir de sus posiciones recibido pos (y) para estimar la tasa de error e'= (m (x) +m (y) ) /t; en el mensaje 20 7. Método según la reivindicación 6, caracterizado por que para transmitir la clave secreta, el mensaje x enviado por el emisor A incluye t bits adicionales que son descartados por el receptor 8 del mensaje recibido y. 25 8. Sistema emisor para la reconciliación de información en QKD mediante el uso de códigos LDPC adaptando la tasa de información para un canal BSC caracterizado por que comprende: 30 35 -un módulo estimador (14) configurado para estimar los parámetros de tasa de error e', tasa de información R, valor de acortado s y valor de perforado p a partir de una cadena original x; -un módulo constructor (16) configurado para construir una cadena extendida x+ correspondiente al mensaje original x sin los p bits perforados, sustituidos por p bits aleatorios, y sin los s bits acortados, sustituidos por s bits públicos conocidos por emisor A y receptor 8; -un módulo calculador (18) configurado para calcular el síndrome s (x+) correspondiente a la cadena extendida x+ provista por el módulo constructor (16) . 40

9. Sistema emisor según la reivindicación 8, caracterizado por que comprende un generador pseudoaleatorio compartido (15) y un módulo generador aleatorio independiente (14) acoplados con el módulo estimador (14) y con el módulo constructor (16) . 10. Sistema receptor para la reconciliación de información en QKD mediante el uso de códigos LDPC adaptando la tasa de información para un canal BSC caracterizado por que comprende: 5 -un módulo estimador (24) configurado para estimar los parámetros de tasa de información óptima R, las posiciones de los p bits perforados, y las posiciones y valores de los s bits acortados a partir de una cadena recibida y; 1º -un módulo constructor (26) configurado para construir una cadena extendida y+ correspondiente al mensaje recibido y sin los p bits perforados, sustituidos por p bits aleatorios, y sin los s bits acortados, sustituidos por s bits públicos conocidos por emisor A y receptor 8; 15 -un módulo decodificador (28) configurado para decodificar la cadena extendida x+ a partir de la información suministrada por el módulo constructor (26) y por un generador aleatorio independiente ( 14) al generador pseudoaleatorio compartido (25) al que está acoplado dicho módulo decodificador (28) . 20 25 11. Sistema de comunicaciones para la reconciliación de información en QKD mediante el uso de códigos LDPC adaptando la tasa de información para un canal BSC caracterizado por que comprende: -un emisor A que comprende a su vez: -un módulo estimador (14) configurado para estimar los parámetros de tasa de error e', tasa de información R, valor de acortado s y valor de perforado p a partir de una cadena original x; 30 -un módulo constructor (16) configurado para construir una cadena extendida x+ correspondiente al mensaje original x sin los p bits perforados, sustituidos por p bits aleatorios, y sin los s bits acortados, sustituidos por s bits públicos conocidos por emisor A y receptor 8; 35 -un módulo calculador (18) configurado para calcular el síndrome s (x+) correspondiente a la cadena extendida x+ provista por el módulo constructor (16) ; - un receptor 8 que comprende a su vez: 40 -un módulo estimador (24) configurado para estimar los parámetros de tasa de información óptima R, las posiciones de los p bits perforados, y las posiciones y valores de los s bits acortados a partir de una cadena recibida y; 45

-un módulo constructor (26) configurado para construir una cadena extendida y+ correspondiente al mensaje recibido y sin los p bits perforados, sustituidos por p bits aleatorios, y sin los s bits acortados, sustituidos por s bits públicos conocidos por emisor A y receptor 8;

- un módulo decodificador (28) configurado para decodificar la cadena extendida x+ a partir de la información suministrada por el módulo constructor

(26) y por un generador aleatorio independiente ( 14) al generador pseudoaleatorio compartido (25) al que está acoplado dicho módulo decodificador (28) .